Descripción general de los paneles de vista previa
Puedes usar la función de vista previa de paneles de Google Security Operations para crear visualizaciones en diferentes fuentes de datos. Se compone de diferentes gráficos, que se propagan con YARA-L 2.0.
Antes de comenzar
Asegúrate de que tu instancia de Google SecOps tenga habilitado lo siguiente:
Configura un proyecto de Google Cloud o migra tu instancia de Google SecOps a un proyecto de nube existente.
Configura un proveedor de identidad de Google Cloud o un proveedor de identidad de terceros.
Permisos de IAM necesarios para los paneles de vista previa
| Permisos de IAM | Objetivo |
|---|---|
chronicle.nativeDashboards.create |
Para crear un nuevo panel de vista previa. |
chronicle.nativeDashboards.delete |
Para borrar un panel de vista previa. |
chronicle.nativeDashboards.duplicate |
Para crear una copia de un panel de vista previa. |
chronicle.nativeDashboards.get |
Para ver un panel de vista previa. |
chronicle.nativeDashboards.list |
Para ver la lista de todos los paneles de vista previa. |
chronicle.nativeDashboards.update |
Para agregar y modificar gráficos, actualizar filtros y cambiar el acceso al panel. |
YARA-L 2.0 tiene las siguientes propiedades únicas cuando se usa en paneles de vista previa:
En los paneles, están disponibles fuentes de datos adicionales, como el grafo de entidades, las métricas de transferencia, los conjuntos de reglas y las detecciones. Algunas de estas fuentes de datos aún no están disponibles en las reglas de YARA-L ni en la búsqueda de UDM.
Consulta las funciones de YARA-L 2.0 para los paneles de la versión preliminar de Google Security Operations y las funciones de agregación que incluyen medidas estadísticas.
La consulta en YARA-L 2.0 debe contener una sección
matchooutcome, o ambas.La sección de eventos de una regla YARA-L se da por implícita y no es necesario declararla en las consultas.
La sección
conditionde una regla YARA-L no está disponible para los paneles.
Fuentes de datos compatibles con los paneles de vista previa
Las siguientes fuentes de datos están disponibles en los paneles de la versión preliminar con el siguiente prefijo YARA-L.
| Fuente de datos | Intervalo de tiempo de consulta | Prefijo YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 días | sin prefijo | Campos |
| Gráfico de entidades | 365 días | gráfico | Campos |
| Métricas de transferencia | 365 días | Transferencia | Campos |
| Conjuntos de reglas | 365 días | conjunto de reglas | Campos |
| Detecciones | 365 días | IA | Campos |
| IOC | 365 días | ioc | Campos |
Impacto del RBAC de datos en los paneles de vista previa
El control de acceso basado en roles de datos (RBAC de datos) es un modelo de seguridad que usa roles de usuario individuales para restringir el acceso de los usuarios a los datos dentro de una organización. Con el RBAC de datos, los administradores pueden definir alcances y asignarlos a los usuarios para ayudar a garantizar que solo puedan acceder a los datos necesarios para sus funciones laborales. Todas las consultas que se ejecutan en los paneles de vista previa son compatibles con el RBAC de datos. Para obtener más información sobre los controles de acceso y los permisos, consulta Controles de acceso y permisos en el RBAC de datos.
Eventos, gráfico de entidades y coincidencias de IOC
Los datos que se muestran desde estas fuentes se alinean con los permisos de acceso a los datos del usuario. Los usuarios solo ven los resultados de los datos dentro de sus alcances asignados. Si un usuario tiene varios permisos, las consultas se ejecutan en los datos combinados de todos los permisos autorizados. Los datos fuera de los alcances accesibles del usuario no aparecen en los resultados de la búsqueda.
Detección y conjuntos de reglas con detecciones
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que se originan a partir de reglas asociadas con sus permisos asignados.
Métricas de transferencia
Los componentes de transferencia son servicios o canalizaciones que transfieren registros a la plataforma desde feeds de registros de origen. Cada componente de transferencia recopila un conjunto diferente de campos de registro en su propio esquema de métricas de transferencia. Estas métricas solo son visibles para los usuarios globales.